Хакер #305. Многошаговые SQL-инъекции
У производителей операционных систем
было два месяца на то, что устранить
уязвимость до того момента, когда о ней
стало известно общественности. Однако
многие с исправлением не поспешили. Колин
Персиваль из команды специалистов по
безопасности FreeBSD рассказал о подробностях
уязвимости, которая распространяется на
процессоры Intel, использующие технологию
многопоточности HyperThreading, на конференции,
что прошла 13 мая. Персиваль получил ответы
от производителей операционных систем
семейства *BSD, а также от SCO и Ubuntu Linux, однако
многие отреагировали вяло - например, Red Hat,
Novell, Mandriva и Microsoft.
"Учитывая, что я им сообщил о проблеме в
начале марта, действительно думал, что они
могли бы выпустить патч месяц назад, -
прокомментировал Персиваль. - Я всем дал
ясно понять, что представлю свое сообщение
в тот день и им следует подготовиться к
этому времени". Представитель из Red Hat,
например, ответил, что команда по
безопасности компании оценила проблему "умеренной"
и работает с создателями OpenSSL (используемой
для эксплуатирования уязвимости) над ее
устранением. В Microsoft заявили, что, пока в
компании проводилось исследование
уведомления Персиваля, опасений атак с
использованием данной уязвимости не
возникало, и они будут дожидаться окончания
экспертизы. В Novell ограничились следующим
высказыванием: "Мы отдаем себе отчет по
этой проблеме и работали над ее решением".
В Intel опасность оценили как "очень низкую".
Несмотря на то, что проблема
распространяется только на
многопользовательские серверы, такие
машины широко используются, и для них "уязвимость
весьма серьезна", считает Персиваль.